Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
- Уровень опасности уязвимости (CVSSv3.1): 6.1+
Описание уязвимости:
Уязвимость существует в почтовом сервере MDaemon. Данная уязвимость, связанная с обработкой HTML-кода в электронных письмах, позволяет злоумышленнику, действующему удаленно и не прошедшему аутентификацию, выполнить произвольный JavaScript-код в браузере жертвы. Для эксплуатации атакующему необходимо отправить специально сформированное письмо на почтовый сервер MDaemon и убедить пользователя открыть его в веб-интерфейсе MDaemon.
Успешная эксплуатация позволяет загрузить произвольный JavaScript-код в контекст пользовательского окна браузера.
Когда стала трендовой: 26.05.2025
Рекомендации по устранению:
Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
Дополнительная информация:
https://www.welivesecurity.com/en/eset-research/operation-roundpress/
Данные актуальны на момент публикации.
Идентификаторы:
CVE-2024-11182
Вендор:
MDaemon
Уязвимый продукт:
MDaemon Email Server